構(gòu)建訪客無線局域網(wǎng)主要議題無線局域網(wǎng)安全連接剖析無線客戶端的認(rèn)證方式無線機(jī)密性和完整性方法Thasbecomeagiantnetwork.#worklikeanetwork問題引入RF信號的狀況、調(diào)制方法和空口管理是成功傳輸數(shù)據(jù)的關(guān)鍵無線通信的便利性也給惡意用戶監(jiān)聽并惡意路由所傳輸?shù)臄?shù)據(jù)提供了方便Thasbecomeagiantnetwork.#worklikeanetwork問題引入在開放空間如何確保發(fā)送數(shù)據(jù)的安全？消息私密性認(rèn)證數(shù)據(jù)完整性無線安全模型認(rèn)證方式期望用戶可以訪問企業(yè)的涉密信息資源非期望用戶不能訪問企業(yè)的涉密信息資源客戶端必須向客戶端表明自己的身份最好方式是：擁有該設(shè)備的任何用戶都能通過網(wǎng)絡(luò)的認(rèn)證數(shù)據(jù)機(jī)密性認(rèn)證關(guān)系確認(rèn)后，往來于該客戶端的數(shù)據(jù)存在被其他設(shè)備所竊聽的風(fēng)險(xiǎn)需要對這些數(shù)據(jù)進(jìn)行加密：加密的秘鑰可以相同也可以不相同數(shù)據(jù)機(jī)密性最好的方式：采用相同加密秘鑰可以確?？尚诺碾p方能理解對方的數(shù)據(jù)數(shù)據(jù)完整性對數(shù)據(jù)進(jìn)行加密可以保證其私密性，可能在途中更改了內(nèi)容消息完整性檢查是一種可以防范數(shù)據(jù)被篡改的安全工具入侵保護(hù)無線攻擊并不會停止，并從不同角度或不同載體來發(fā)送惡意攻擊操作無線欺騙偽裝AP中間人攻擊DNS緩存欺騙釣魚入侵保護(hù)無線入侵防御系統(tǒng)wIPS(WirelessIntrusionProtectionSystem)可以監(jiān)控?zé)o線行為為并與已知的簽名或模式數(shù)據(jù)庫進(jìn)行對比定位欺詐AP入侵保護(hù)無線入侵防御系統(tǒng)wIPS(WirelessIntrusionProtectionSystem)可以監(jiān)控?zé)o線行為為并與已知的簽名或模式數(shù)據(jù)庫進(jìn)行對比抑制欺詐沒備入侵保護(hù)無線入侵防御系統(tǒng)wIPS(WirelessIntrusionProtectionSystem)可以監(jiān)控?zé)o線行為為并與已知的簽名或模式數(shù)據(jù)庫進(jìn)行對比抑制欺詐沒備入侵保護(hù)無線入侵防御系統(tǒng)wIPS(WirelessIntrusionProtectionSystem)可以監(jiān)控?zé)o線行為為并與已知的簽名或模式數(shù)據(jù)庫進(jìn)行對比抑制欺詐沒備入侵保護(hù)無線入侵防御系統(tǒng)wIPS(WirelessIntrusionProtectionSystem)可以監(jiān)控?zé)o線行為為并與已知的簽名或模式數(shù)據(jù)庫進(jìn)行對比檢測出多種無線網(wǎng)絡(luò)攻擊行為Thasbecomeagiantnetwork.#worklikeanetwork開放式認(rèn)證開放式認(rèn)證是一種不進(jìn)行任何類型客戶端認(rèn)證的身份認(rèn)證本質(zhì)上就是客戶端和AP之間進(jìn)行了一些hello包的交互一般在公共場所才使用開放式認(rèn)證共享秘鑰認(rèn)證是802.11定義的另外一種認(rèn)證方法即無線等效私密性WEPWEP使用RC4密碼算法來保證每個(gè)無線網(wǎng)絡(luò)數(shù)據(jù)幀的私密性共享秘鑰認(rèn)證WEP除了可以作為加密工具外，還可以作為可選的認(rèn)證方法認(rèn)證包含如圖所示的4個(gè)過程共享秘鑰認(rèn)證WEP密鑰長度可以是40比特或104比特，加密結(jié)果比較脆弱2004年發(fā)布802.11i標(biāo)準(zhǔn)之后，WEP就被正式廢除共享秘鑰認(rèn)證WEP長期占據(jù)市場的主旋律，客戶端、AP以及控制器仍然支持WEPThasbecomeagiantnetwork.802.1X認(rèn)證802.1X是一種基于端口的局域網(wǎng)接入控制協(xié)議，主要解決無線局域網(wǎng)用戶的接入驗(yàn)證問題802.1X認(rèn)證的最終目的就是確定一個(gè)端口是否可用802.1X客戶端認(rèn)證角色采用C/S（Client/Server）體系結(jié)構(gòu)，包括三個(gè)實(shí)體是WLAN的一種增強(qiáng)型的網(wǎng)絡(luò)安全解決方案認(rèn)證服務(wù)器申請者認(rèn)證者EAPOL幀EAP協(xié)議802.1X本身不是一個(gè)完整的認(rèn)證機(jī)制，而是一個(gè)通用架構(gòu)802.1X體系使用可擴(kuò)展認(rèn)證協(xié)議EAPEAP的封包格式如圖所示EAP協(xié)議的類型可擴(kuò)展性能夠在有新的需求浮現(xiàn)時(shí)開發(fā)新的功能802.11i沒有規(guī)定上層協(xié)議，流行的上層協(xié)議認(rèn)證協(xié)議有四種導(dǎo)致不同的運(yùn)營商或者企業(yè)使用不同的EAPWLAN中802.1X認(rèn)證過程①用戶要求接入，AP防止網(wǎng)絡(luò)接入②加密的證明材料被發(fā)送給驗(yàn)證服務(wù)器③驗(yàn)證服務(wù)器驗(yàn)證用戶并給予接入權(quán)④AP端口被啟動，動態(tài)WEP密鑰被分配給客戶（加密）⑤無線客戶端現(xiàn)在可以安全地訪問普通的網(wǎng)絡(luò)服務(wù)了CiscoLEAP與EAP-TLS在每次（重新）驗(yàn)證時(shí)均會生成一個(gè)WEP會話密鑰新的密鑰基于用戶信息與會話信息RADIUS選項(xiàng)27提供了會話超時(shí)設(shè)置MAC地址認(rèn)證MAC地址認(rèn)證是一種基于端口的對用戶的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制的方法MAC認(rèn)證不建議單獨(dú)使用可與Radius服務(wù)器結(jié)合實(shí)現(xiàn)MAC地址認(rèn)證WAPI無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI，針對WEP協(xié)議安全問題，是中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案本方案已由ISO/IEC授權(quán)的機(jī)構(gòu)IEEE注冊權(quán)威機(jī)構(gòu)審查并獲得認(rèn)可，分配了用于WAPI協(xié)議的以太類型字段是我國目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。WAPIAP有獨(dú)立身份，在三個(gè)元兩條路上做雙向認(rèn)證鑒別器實(shí)體AE：為鑒別請求者在接入服務(wù)前提供鑒別的實(shí)體，駐留在AP中鑒別請求者實(shí)體ASUE：需通過鑒別服務(wù)單元進(jìn)行鑒別的實(shí)體，駐留在STA中鑒別服務(wù)實(shí)體ASE：為鑒別器和鑒別請求提供相互鑒別的實(shí)體，駐留在ASU中WAPI鑒別流程AP為提供無線接入服務(wù)的WLAN設(shè)備鑒別服務(wù)器主要幫助無線客戶端和無線設(shè)備進(jìn)行身份認(rèn)證AAA服務(wù)器主要提供計(jì)費(fèi)服務(wù)WLAN安全小結(jié)不同的應(yīng)用場景使用不同級別的WLAN安全措施可以根據(jù)沒有安全、基本安全、增強(qiáng)安全等種安全措施，選擇相應(yīng)的組合方案沒有WEP采用廣播模式公共接入開放的接入40位和104位

靜態(tài)密鑰（WEP)SOHO基本的安全性動態(tài)密鑰管理

開放的802.1X/EAP標(biāo)準(zhǔn)驗(yàn)證

TKIP、MIC、

AES中型、大型企業(yè)增強(qiáng)的安全性Thasbecomeagiantnetwork.TKIP臨時(shí)密鑰完整性協(xié)議TKIP是WEP的增強(qiáng)版本保留了WEP的基本架構(gòu)和操作方式，并整合了許多新的功能TKIP作為一種應(yīng)急的安全方法，現(xiàn)已被802.11-2012標(biāo)準(zhǔn)廢除CCMP計(jì)數(shù)器模式+密碼塊鏈認(rèn)證碼協(xié)議CCMP是實(shí)現(xiàn)RSN的強(qiáng)制性要求RSN重點(diǎn)處理了WEP協(xié)議中的缺陷RSN安全機(jī)制只工作在數(shù)據(jù)鏈路層RSN只工作在整個(gè)網(wǎng)絡(luò)的無線部分CCMP并非WEP的升級版本使用AES加密算法CBC-MAC來計(jì)算MIC值，使用CTR來進(jìn)行數(shù)據(jù)加密安全性高，目前還無法破解TKIP與CCMP的比較主要的差別在于使用的加密算法分組長度秘鑰長度P構(gòu)建安全的無線局域網(wǎng)主要議題WPA/WPA2安全技術(shù)無線局域網(wǎng)接入認(rèn)證課題引入802.11認(rèn)證機(jī)制如何選擇？從802.11安全認(rèn)證機(jī)制發(fā)展歷程，可以得出如下線索應(yīng)該選擇哪一套組合方案？考慮因素是哪種方法最好或哪種方法已經(jīng)被廢除？哪些認(rèn)證方法與哪些加密算法兼容？802.11i協(xié)議結(jié)構(gòu)WPAWPA是Wi-Fi聯(lián)盟所推行的商業(yè)標(biāo)準(zhǔn)是WEP的改良版本核心加密算法TKIPWAP2完全包含了802.11i兼容WAP使用AES加密算法WPA與WPA2的比較認(rèn)證方式相同，同為802.1X/EAP加密算法不同針對不同的應(yīng)用領(lǐng)域有不同的認(rèn)證方法WAP的最新進(jìn)展由于WAP主要是用來解決兼容性問題的應(yīng)根據(jù)不同的應(yīng)用場景，選擇相應(yīng)的組合方案WAP可實(shí)現(xiàn)多種安全組合方案PSK預(yù)共用密鑰模式PSK是設(shè)計(jì)給負(fù)擔(dān)不起802.1X驗(yàn)證服務(wù)器的成本和復(fù)雜度的家庭和小型公司網(wǎng)絡(luò)用的PSK認(rèn)證需要實(shí)現(xiàn)在無線客戶端和設(shè)備端配置相同的預(yù)共享密鑰ACS簡介ACS是思科安全服務(wù)控制器的簡稱集身份驗(yàn)證、用戶或管理員接入及策略控制于一體思科網(wǎng)絡(luò)準(zhǔn)入控制的關(guān)鍵組件AAA簡介AAA是一個(gè)管理框架認(rèn)證（Authentication）：哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器授權(quán)（Authorization）：具有訪問權(quán)的用戶可以得到哪些服務(wù)計(jì)費(fèi)